-
Win32.Spy.Ursnif заражен termsrv.dll
Приветствую всех участников форума. Попросили меня пролечить комп от заразы, которая периодически выводит на пол экрана предложение купить всякие секс игрушки и просит смс отправить чтобы ее удалить, а на нем оказался целый рассадник заразы. Сначала я отловил CureIT-ом Backdoor.Blackhole, Trojan.PSW.Panda, Trojan.AdSubscribe, Trojan.MulDrop, Trojan.PSW.LDPinch и еще ряд всякой вирусни. Потом AVZ удалил ntos, тоже там обитал. Установил Eset четверку он еще парочку зверьков прибил, а вот на одном застопорился. Периодически находит файл termsrv.dll и говорит, что он заражен Win32/Spy.Ursnif.A, но удалить его не может И комп ужасно тормозит при загрузке. Помогите, пожалуйста, прибить оставшуюся заразу.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте лог этой версией AVZ, предварительно установив AVZPM
The worst foe lies within the self...
-
-
что то эта ссылка ведет на какой-то game.pif
-
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Правильно ведет
А то, что детектируется этот файл как вероятно неизвестный NewHeur_PE вирус удален - изолирован Событие произошло в файле модифицированном приложением: C:\Program Files\Mozilla Firefox\firefox.exe. это тоже правильно?
-
Это спецверсия, она модифицирована так, чтоб ее трояны не узнавали..
Соответственно антивирусы ее тоже не узнают
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Это спецверсия, она модифицирована так, чтоб ее трояны не узнавали..
Соответственно антивирусы ее тоже не узнают
Спасибо за пояснения Просто боязно было качать, после того как антивирь заругался . Запустил скрипт, логи будут минут ч-з 10.
-
тыыыкс, готово. Логи прикрепил.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\jar_cache2192.tmp','');
QuarantineFile('C:\WINDOWS\system32\DLLINFO.DLL','');
QuarantineFile('C:\WINDOWS\system32\ACDV.dll','');
QuarantineFile('C:\WINDOWS\system32\kbd101a.dll','');
QuarantineFile('C:\WINDOWS\system32\kbd101.dll','');
QuarantineFile('ACDV.dll','');
QuarantineFile('kbd101a.dll','');
QuarantineFile('kbd101.dll','');
QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
QuarantineFile('C:\WINDOWS\System32\termsrv.dll','');
QuarantineFile('C:\WINDOWS\Installer\{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}\QTPlayer.ico','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rspndr.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\wuauserv.dll','');
QuarantineFile('C:\WINDOWS\system32\wups2.dll','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
Подождем вердикт аналитиков
The worst foe lies within the self...
-
-
Благодарю за помощь! А в какой версии AVZ выполнять? В той, что Вы дали, или разницы нет?
-
The worst foe lies within the self...
-
-
Карантин выслал. Ждем вердикта. Файл сохранён как090708_104552_virus_4a5440a0743f6.zip
Добавлено через 1 час 53 минуты
Как там карантин? Все плохо, или вердикт еще не готов?
Последний раз редактировалось Vlan; 08.07.2009 в 12:39.
Причина: Добавлено
-
В присланных Вами файла не найдено ничего вредоносного.
Сообщение от
Vlan
Периодически находит файл termsrv.dll и говорит, что он заражен Win32/Spy.Ursnif.A
А скопировать в карантин он может этот файл?
Добавлено через 52 минуты
Пользователь заменил файл "чистым" с другой системы.
Последний раз редактировалось Kuzz; 08.07.2009 в 14:40.
Причина: Добавлено
The worst foe lies within the self...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-